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(54) Title: METHOD AND DEVICE FOR PROCESSING DATA 

(54) Bezeichnung: VERFAHREN UND VORRICHTUNG ZUM VERARBEITEN VON DATEN 
(57) Abstract 

The invention relates to a method for encoding 
and/or decoding data, according to which the data are 
designated for encoding or decoding in an encoding or 
decoding step which is chosen from several alternative, 
equivalent encoding or decoding steps and/or consists 
of several partial encoding or decoding steps to be 
processed sequentially. The selected encoding or 
decoding step is chosen randomly and/or the encoding 
or decoding steps are modified randomly. 

(57) Zusammenfassung 

Es ist ein Verfahren zum VerschlOsseln 
und/oder Entschliisseln von Daten, bei dem die 
Daten fOr ein VerschlOsseln oder EntschlOsseln in 
einem VerschlOsselungs- oder Entschlusselungsschritt 
vorgesehen werden, der aus mehreren al- 
ternativen gleichwertigen VerschlOsselungs- 
oder Entschlusselungsschritten ausgewahlt ist, 
und/oder aus mehreren sequentiell abzuarbeitenden 
VerschlOsselungs- oder Entschlusselungsteilschritten 
besteht, wobei der ausgewahlte VerschlOsselungs- 
oder EntschlQsselungsschritt zufallig ausgewShlt 
ist und/oder die VerschlOsselungs- oder 
EntschlOsselungsschritte zufallig verandert sind, 
vorgesehen. 
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Beschreibung 

Verfahren und Vorrichtung zum Verarbeiten von Daten 



5 Die Erfindung betrifft ein Verfahren bzw. eine Vorrichtung 
zum Verarbeiten von Daten. Im Rahmen iiblicher Datenverarbei- 
tung werden heutzutage zunehmend Sicherheitsaspekte relevant, 
da zunehmend versucht wird, unerlaubt Daten aus Datenverar- 
beitungsanlagen zu erhalten. Urn die zu verhindern werden zu- 

10 nehmend kryptographische Verfahren angewandt, bei denen zu 

schutzende Daten verschlusselt werden. Hierzu wird unter an- 
derem beispielsweise das "Public-Key-Verf ahren" verwendet, 
bei dem jeder Teilnehmer eines Systems ein Schlusselpaar be- 
sitzt, das aus einem geheimen Schlusselteil und einem offent- 

15 lichen Schlusselteil besteht. Die Sicherheit der Teilnehmer 
beruht nun darauf, daft der geheime Schlusselteil Unbefugten 
nicht bekannt ist. Die Ausfuhrung eines derartigen Verfahrens 
geschieht haufig in einer besonders gesicherten Komponente, 
wie beispielsweise einer Chipkarte aber auch in einem einmal 

20 in ein Gerat eingesetzten elektronischen Schaltkreis - auch 
als IC bekannt -, in denen dann das Verfahren selbst reali- 
siert ist. Somit braucht der geheime Teil des Schlussels die- 
se gesicherte Komponente nicht zu verlassen. 

25 Neuerdings sind jedoch Angriffe bekannt geworden, bei denen 
versucht wird, den Schliissel in der gesicherten Komponente 
auszuspahen. Dies soli beispielsweise durch Messung des 
Stromverbrauchs der gesicherten Komponente ermoglicht werden. 
Durch das haufig wiederholte Beobachten des Stromverlauf s und 

30 bei dem Bekannt sein wie der Verschliisselungsvorgang durchge- 
fuhrt ist, ist es schlieftlich moglich, Ruckschlusse auf den 
Schliissel zu ziehen. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren 
35 zum Verschlusseln bzw. eine Vorrichtung vorzusehen, bei der 
eine erhohte Sicherheit vor dem Ausspahen eines geheimen 
Schliisselwortes gegeben ist. 
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Diese Aufgabe wird erf indungsgemaB mit den Maftnahmen bzw. 
Mitteln gemafr Patentanspruch 1 bzw. Patentanspruch 3 gelost. 

Dadurch, daft Verschliisselungs- bzw. Entschliisselungsverf ahren 
so gesteuert bzw. Operationen begleitend zu diesem Verf ahren 
gesteuert werden, daB sich auch bei einer haufig wiederholten 
Messung von von auften zuganglichen Parametern, wie beispiels- 
weise dem Stromverbrauch, keine Riickschlusse auf den verwen- 
deten Schliissel Ziehen lassen. 

Weitere vorteilhafte Ausgestaltungen der Erfindung sind in 
den Unteranspruchen angegeben. Nachfolgend wird die Erfindung 
unter Bezugnahme auf die Zeichnung anhand von Ausfuhrungsbei- 
spielen erlautert. 

Hierbei zeigen: 

Fig. 1 ein erstes Ausf iihrungsbeispiel einer erf indungsgema- 
ften Vorrichtung, 

Fig. 2 ein zweites Ausf iihrungsbeispiel einer erf indungsgema- 
fien Vorrichtung, anhand der auch das erf indungsgemafte 
Verfahren erlautert wird und 

Fig. 3 ein drittes Ausf iihrungsbeispiel 

Mit 1, 2 ist eine zu schutzende Schaltung, die beispielsweise 
aus einem Mikrocontroler 2 und einem Rechenwerk 1 besteht, 
bezeichnet. Der Mikrocontroler 2 steuert dabei das Rechenwerk 
1, in dem beispielsweise ein Verschlusselungsvorgang durchge- 
fuhrt.wird. Dieser zu schutzenden Anordnung wird nunmehr ein 
Strom I zugefiihrt, der mittels einer Mefteinrichtung 7 detek- 
tierbar ist, wodurch Riickschlusse auf die Vorgange in der zu 
schutzenden Schaltung 1, 2 gezogen werden sollen. Es ist nun- 
mehr eine zusatzliche Schaltungseinrichtung 6 vorgesehen, die 
uber einen Zuf allsgenerator 3 gesteuert wird. Dieser Zufalls- 
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generator kann beispielsweise als ein Sequenzgenerator in 
Form eines linear ruckgekoppelten Schieberegisters ausgefuhrt 
sein, welches mit einem Startwert geladen, eine pseudozuf al- 
lige Folge - Nullen und Einsen - erzeugt. Hierbei kann der 
5 Startwert entweder zufallig erzeugt sein oder von der Steuer- 
einrichtung beispielsweise auf Basis des Schlusselwortes ge- 
neriert werden, auch ist eine Kombination beider Moglichkei- 
ten denkbar. Die somit vom Zuf allsgenerator erzeugte Sequenz 
steuert nunmehr Schalter S in der zusatzlichen Schaltungsein- 

10 richtung 6, so daft Kondensatoren, die mit den Schaltern S in 
Reihe liegen, entsprechend der jeweils gerade erzeugten Zu- 
fallsfolge geladen werden. Auf diese Weise wird der Stromver- 
brauch der zu schutzenden Schaltung 1, 2 durch die zusatzli- 
che Schaltungseinrichtung 6, namlich dem Ladestrom der Kon- 

15 densatoren, verschleiert . Urn den Gesamtstromverbrauch dieser 
Einrichtung zu minimieren, ist es nicht notwendig, daft die 
zusatzliche Schaltungseinrichtung 6 fortwahrend einen Beitrag 
zum Stromverbrauch liefert. Sie kann vielmehr darauf be- 
schrankt werden, nur in der Zeit wahrend des Verschlusselns 

20 bzw. Entschlusselns zu arbeiten. 

Fig. 2 zeigt ein weiteres erf indungsgemaiies Ausf uhrungsbei- 
spiel. Hierbei liegt das Rechenwerk 1 und die Steuerungsein- 
richtung 2, der Zuf allsgenerator 3 und eine Speichereinrich- 

25 tung 5 an einem gemeinsamen Bus 4, der von extern mittels ei- 
ner Schnittstelle 9 zuganglich ist. Uber die Schnittstelle 9 
werden beispielsweise zu verschlusselnde bzw. zu entschliis- 
selnde Daten zugefuhrt. In der Speichervorrichtung 5 ist ein 
geheimes Schlusselwort gespeichert, das gesteuert von der 

30 Steuereinrichtung 2 dem Rechenwerk 1 zugefuhrt wird, urn die 
uber die Schnittstelle 9 vom Datenbus zugefiihrten Daten zu 
verschlusseln bzw. zu entschlusseln . Der Zuf allsgenerator 3 
erzeugt nunmehr eine Zufallszahl, die der Steuereinrichtung 2 
zugefuhrt wird, die nunmehr auf Grundlage dieser Zufallszahl 

35 das Rechenwerk 1 steuert. Hierbei sind nunmehr zwei Moglich- 
keiten denkbar. 
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Das Rechenwerk 1 wird auf Grundlage der Zufallszahl durch die 
Steuereinrichtung 2 so gesteuert, dafi der Verschlusselungs- 
Oder Entschlusselungsalgorithmus der jeweiligen Zufallszahl 
entsprechend moduliert wird. Das bedeutet, es erfolgen somit 
5 im Verschlusselungs- bzw. Entschlusselungsalgorithmus Re- 
chenoperartionen, die ohne abschlieftende Auswirkung auf die 
Verschliisselung bzw. Entschliisselung, mit zufalligen Werten 
arbeiten. 

10 Nachfolgend werden Beispiele fur die Variationen des Ver- 
schlusselungs- bzw. Entschlusselungsalgorithmus beschrieben. 

Ein bekanntes Verfahren ist das sogenannte RSA-Verf ahren . Es 
arbeitet in der Gruppe teile fremder Restklassen modulo N und 

15 setzt die Exponentiationen aus Multiplikationen modulo N zu- 
sammen. Die Varianten dieser Protokolle fur elliptische Kur- 
ven modulo p besitzen aus modularen Additionen und Multipli- 
kationen zusammengesetzte Grundoperationen, sogenannte Addi- 
tionen und Verdoppelungen in der Punktgruppe der elliptischen 

20 Kurven, die ihrerseits zur Exponentiation zusammengesetzt 

werden. Die dritte grofte Gruppe besteht aus elliptischen Kur- 
ven uber endlichen Korpern, deren Elementezahlen eine Prim- 
zahlpotenz, die haufig eine Potenz von 2 ist. Diese Struktu- 
ren werden gemeinhin als GF(p n ) bezeichnet. Die Basisarithme- 

25 tik in diesen Korpern kann durchgefuhrt werden, indem man die 
Korperelemente als Polynome mit Koef f izienten aus dem Grund- 
korper GF(p) oder einem geeigneten Zwischenkorper darstellt f 
die durch Multiplikationen modulo einem festen Korperpolynom 
miteinander verkniipft sowie koef f izientenweise addiert wer- 

30 den. In diesem Sinne lassen sich Operationen in GF(p n ) bzw. 
in elliptischen Kurven uber diesen Korper als modulare Re- 
chenoperation auffassen. Dabei sind die nachf olgenden drei, 
dem erf indungsgemaften Verfahren entsprechende Variationsmog- 
lichkeiten moglich. 

35 

a) Der Modul N wird durch r*N ersetzt, wobei r eine von 0 
verschiedene Zufallszahl ist. Im GF(p n )-Fall wird das Kor- 
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perpolynom durch sein Produkt mit einem zufallig gewahlten 
von 0 verschiedenen Polynom ersetzt. Dieser Schritt ist vor 
Eintritt in die Rechnung oder einem Teilschritt durchzufiih- 
ren und nachfolgend durch eine Reduktion des Ergebnisses 
5 bzw. Teilergebnis modulo N zu kompensieren. 

b) Ein Eingangsparameter X einer modularen Rechenoperation 
wird durch den Wert X + s*N ersetzt, wobei s eine Zufalls- 
zahl ist. Dies kann in verschiedenen Rechenschritten durch- 
gefuhrt werden. Auch eine entsprechende Veranderung mehre- 

10 rer Eingangsparameter der selben Operation ist moglich. 

c) Die Exponenten E werden durch E + t*q ersetzt, wobei t ei- 
ne Zufallszahl und q die sogenannte Ordnung der Basis der 
auszufuhrenden Exponentiation, oder ein geeignetes Vielfa- 
ches davon, ist. Potentielle Werte von q lassen sich haufig 

15 aus den Systemparametern ableiten. So kann man fur die Ex- 
ponentiation modulo N q=cp (N) und fur elektrische Kurven q 
als die Anzahl der Punkte dieser Kurve wahlen, wobei haufig 
noch bessere Wahlmoglichkeiten gegeben sind. 

20 Eine weitere Moglichkeit besteht darin, daft alternative, 

gleichwertige Verschlusselungs- bzw. Entschlusselungsalgo- 
rithmen im Rechenwerk 1 durchfuhrbar sind, die gemafi der zu- 
gefiihrten Zufallszahl zufallig ausgewahlt werden. 

25 Bei der zuvor beschriebenen Modulation des Verschlusselungs- 
bzw. Entschlusselungsalgorithmus wird nicht nur der Stromver- 
brauch der Anordnung durch die Zufallszahl verandert, sondern 
ebenfalls die benotigte Rechenzeit. Auch diese kann als Mefc- 
grofce Riickschlusse auf den Geheimschlussel geben. Gleiches 

30 gilt fur die zuf allsgesteuerte Auswahl der aquivalenten Re- 
chenoperat ionen . 

Eine dritte Moglichkeit ist darin zu sehen, daft ahnlich dem 
Ausfuhrungsbeispiel nach Fig. 1 eine zusatzliche Schaltungs- 
35 einheit 6 vorgesehen ist (gestrichelt dargestellt) f die eben- 
falls mit der Zuf uhreinrichtung 4 verbunden ist. Die Steuer- 
einrichtung 2 steuert nunmehr die zusatzliche Schaltungsein- 
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richtung 6 gemaft einer vom Zuf allsgenerator 3 uber die Zufuh- 
reinrichtung 4 zugefuhrten Zufallszahl. Eine Anlayse des 
Stromverbrauchs der dargestellten Gesamtanordnung ist somit 
nicht durch den Betrieb im Rechenwerk 1 allein bestimmt son- 
5 de.rn ebenfalls durch einen zufallig gesteuerten Stromver- 
brauch der zusatzlichen Schaltungseinheit . 

Zusatzlich sei darauf hingewiesen, daft auch die Kombination 
von Modulation des jeweiligen Algorithmus mit einer zusatzli- 
10 chen Schaltungseinheit 6 im "Dummy-Betrieb" sinnvoll ist. 

Fig. 3 zeigt ein drittes erf indungsgemafles Ausf uhrungsbei- 
spiel. Hierbei wird der Steuereinrichtung 2, in Form einer 
CPU liber Datenanschluft D Daten zugefiihrt. Gleichzeitig wird 

15 der "Wait-State-Anschluft" WS mit einem Zuf allsgenerator 3 
verbunden. Dieser Zuf allsgenerator 3 erzeugt nunmehr in zu- 
falliger Folge "Einsen" "Nullen". Entsprechend der Program- 
mierung wird nunmehr immer dann wenn eine "1" oder "0" am 
Eingang anliegt,.der Betrieb der CPU gestoppt oder wieder 

20 aufgenommen. Dies fuhrt dazu f daft der Betrieb der CPU zwar 

noch synchron zu einem nicht dargestellten Taktgenerator ar- 
beitet, jedoch keine einheitlichen Verarbeitungszyklen mehr 
aufweist. Da auf diese Weise kein fester einheitlicher Rahmen 
mehr vorliegt, sind durch Beobachtung der CPU deren Arbeits- 

25 vorgange nicht mehr ohne weiteres nachvollziehbar und nur 
sehr erschwert analysierbar . Dies bedeutet, daft die in der 
CPU abzuarbeitenden Vorgange "verrauscht" sind. Urn die Hand- 
habbarkeit einer solchen Anordnung zu steigern, kann der Zu- 
f allsgenerator 3 so programmiert werden, daft festlegbar ist, 

30 in welchem zeitlichen Rahmen eine Verarbeitung maximal ab- 

lauft. Dies ist unter anderem dafur notwendig, urn festzustel- 
len, ob das System insgesamt ausgef alien ist. 

Es erscheint besonders sinnvoll eine- Anordnung gemaft Fig. 3 
35 mit einer Anordnung gemaft Fig. 1 oder 2 oder mit beiden zu 

kombinieren um somit beispielsweise die Analyse der Bearbei- 
tung eines Gesamtsystems zu erschweren. 
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Patentansprliche 

1. Datenverarbeitungsverfahren, bei dem in einer Verarbei- 
tungseinheit (1,2) uber eine Datenleitung zugefuhrt e Daten 

5 verarbeitet werden, ein Zusatzsignal der Verarbeitungseinheit 
zugefuhrt wird, und bei dem die Verarbeitung in Abhangigkeit 
vom Zusatzsignal erfolgt. 

2. Datenverarbeitungsverfahren nach Anspruch 1, bei dem das 
10 Zusatzsignal von einem Zuf allszahlgenerator gesteuert ist. 

3. Datenverarbeitungsverfahren nach Anspruch 2, bei dem an 
einer geeigneten Stelle ein Operand mit einer Zufallszahl be- 
aufschlagt ist und an einer weiteren geeigneten Stelle ein 

15 entsprechender Kompensationsoperand mit der gleichen Zufalls- 
zahl beaufschlagt ist. 

4. Datenverarbeitungsverfahren nach Anspruch 2, bei dem die 
Verarbeitung der Daten aus mehreren Einzelschritten zusammen- 

20 gesetzt ist, die aus mehreren Alternativen gleichwertigen 
Einzelschritten ausgewahlt sind, und/oder aus mehreren se- 
quentiell abzuarbeitenden veranderbaren Einzelschritten be- 
steht, wobei die Auswahl und/oder die Veranderungauf Grundla- 
ge des Zusat zsignals erfolgt. 

25 

5. Vorrichtung zum Durchfuhren des Verfahrens nach Anspruch 
l f mit einer Recheneinrichtung (1), der Daten mittels einer 
Zufuhrvorrichtung (4) zugefuhrt werden, und einem Zufallsge- 
nerator (3), und einer Steuervorrichtung (2), die die Rechen- 

30 einrichtung steuert, wobei ein Ausgangssignal ~des Zufallsge- 
nerators (3) die Steuereinrichtung (2) und/oder und die Re- 
cheneinrichtung (2) beeinfluiit. 

6. Vorrichtung nach Anspruch 5, bei der mit der Steuerein- 
35 richtung (2) eine Hilf sschaltung (6) verbunden ist, die von 

der Steuereinrichtung (2) auf Basis des von dem Zufallsgene- 
rator (3) zugefiihrten Ausgangssignal gesteuert wird. 
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